Celých 10 let mohli zločinci krást údaje o platebních kartách nebo lékařských záznamech ze 3 milionů aplikací v iOS a macOS

Operační systémy od Applu patří všeobecně mezi bezpečné, ale rozhodně to neznamená, že by na nich hackeři a jiní útočníci neslavili úspěchy. Někdy jim k tomu přitom může dopomoci i chyba ze strany samotného technologického giganta nebo jiných tvůrců softwaru. Redakce Mobify ostatně zjistila, že jsou kvůli jedné v ohrožení zhruba 3 miliony aplikací od vývojářů třetích stran.

Chyba by mohla odhalit citlivé informace

Zranitelnost byla objevena v CocoaPods, což je software, který usnadňuje vývojářům integraci kódu třetích stran do jejich aplikací prostřednictvím opensourcových knihoven. A když se potom knihovna aktualizuje, tak všechny aplikace, které ji používají, získají nejnovější aktualizace automaticky, uvádí CocoaPods. Což je užitečné, ale to nechme stranou.

Průzkum společnosti EVA Information Security zveřejněný v červenci 2024 odhalil, že může chyba umožnit útočníkům přístup k citlivým informacím dotčených aplikací, z nichž by mohli získat údaje o platební kartě, lékařské záznamy (pokud např. využíváte Apple Watch ve spolupráci s lékařem – u nás to ještě není, ale třeba v Americe ano), soukromé materiály apod.

Tato data by mohli útočníci následně využít ke škodlivé činnosti, například k prodeji dalším stranám, ale také k vašemu vydírání, event. i k instalaci škodlivého softwaru, varuje 9to5mac. Získávat je přitom mohli ze zhruba 3 milionů aplikací pro iOS i macOS, a to po dobu 10 let. Ano, tak dlouho si nikdo nevšiml poměrně závažné zranitelnosti.

Ta souvisela s nezabezpečeným mechanismem ověřování e-mailů, který využívali sami vývojáři k ověřování jednotlivých podů (knihoven). Útočník tak například mohl manipulovat s adresou URL v ověřovacím odkazu tak, aby odkazovala na škodlivý server. Tým CocoaPods už měl ale podniknout kroky, aby zajistil, že k žádnému zneužití nedojde.